Il Garante privacy ha sanzionato per 300mila euro la Rinascente S.p.A. per aver trattato in modo illecito dati personali di milioni di clienti nell’attività di marketing e profilazione mediante l’uso delle carte di fedeltà.
La segnalazione
L’Autorità è intervenuta a seguito della segnalazione di una cliente che, dopo un alterco con un’addetta dello store, si era vista annullare la fidelity card erogata anni addietro e attivarne una nuova, non richiesta, recante, nella parte relativa all’intestazione, dei riferimenti offensivi nei confronti della reclamante. La signora lamentava che, di fatto, per introdurre la nuova intestazione oltraggiosa, era stato effettuato un accesso non richiesto alla scheda cliente.
Oltre a tale violazione dei principi di integrità e riservatezza, correttezza e liceità, l’accertamento ispettivo presso la sede della Rinascente, condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, ha evidenziato altre inosservanze della normativa sulla tutela dei dati personali.
I controlli
Nel corso dell’istruttoria è risultato, ad esempio, che nell’informativa relativa alla fidelity card denominata “friendscard”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e di profilazione. Inoltre, non veniva indicata l’attività svolta mediante Facebook-Meta, che prevedeva l’inoltro degli indirizzi email dei clienti alla società americana.
Riguardo infine all’attività di e-commerce presente sul sito: pur svolgendo un’attività di profilazione ad ampio raggio, non è risultato che la Rinascente avesse predisposto la procedura di valutazione d’impatto prevista dal GDPR.
Conservazione dei dati
Dagli accertamenti è emerso che la società conservava, a tempo indeterminato, i dati di migliaia di ex clienti disiscritti dalla newsletter. Tale condotta, non conforme all’articolo 5 del GDPR, è stata qualificata dal Garante come “gravemente colposa”.
Anche i dati relativi agli scontrini, ricchi di dettagli oggettivamente riferiti a gusti e preferenze degli interessati e utilizzati per attività di marketing e profilazione, erano conservati sul gestionale per 10 anni, a discapito di quanto dichiarato agli interessati nell’informativa per i programmi loyalty (in base alla quale il tempo di conservazione dei dati sarebbe stato limitato a 2 anni, in relazione sia al marketing che alla profilazione).
Il Garante ha quindi constatato la violazione del principio di limitazione della conservazione e, rispetto ai trattamenti relativi a marketing e profilazione, ha rinviato a quanto disposto nel provvedimento generale “Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione” del 24 febbraio 2005, che per il Garante privacy italiano costituisce tutt’oggi il riferimento principale in materia.
Sanzione
L’Autorità ha prescritto alla società di definire tempi differenziati di conservazione, distinguendo fra trattamenti a fini di marketing e trattamenti a fini di profilazione. Cancellare, o anonimizzare, i dati che dovessero risultare conservati al di là dei termini stabiliti. Nel definire l’importo della sanzione a 300mila euro il Garante ha considerato l’elevato numero dei soggetti coinvolti dalle violazioni (più di 2.000.000). Inoltre, la loro durata e la capacità economica della Società.
Sono invece state considerate attenuanti l’assenza di precedenti procedimenti a carico della Società, la tempestiva adozione di misure correttive e la grave crisi socio-economica in atto.
(Garante Privacy)
Leggi anche: